Содержание
Пользователей LinkedIn атакуют фишинговыми письмами, которые выглядят как стандартные уведомления сервиса. Злоумышленники давят на срочность и интерес к новой работе, чтобы выманить логин и пароль.
О кампании рассказала компания Cofense, которая разобрала цепочку писем и поддельных страниц входа. В таких атаках ставка не на «грубую» подделку, а на копирование мелочей — от шрифтов до верстки.
Как устроена атака: уведомления LinkedIn и домены-двойники
Один из примеров домена-двойника — inedin[.]digital. Он отличается от настоящего адреса всего одной буквой, и на беглый взгляд легко спутать.
Отправители тоже выглядят правдоподобно. Cofense упоминает адреса вроде khanieteam[.]com, которые не связаны с LinkedIn, но не всегда вызывают подозрение у получателя.
- Приманка: срочная вакансия или сообщение «от рекрутера»
- Маскировка: логотипы, шрифты и форматирование как у настоящих писем LinkedIn
- Цель: кража учетных данных через фальшивую страницу входа
Почему эти письма работают: эмоции, персонализация и скорость
Cofense отмечает, что атакующие целятся в эмоции. Они играют на любопытстве и страхе упустить шанс, чтобы человек кликнул быстрее, чем успеет проверить адрес.
Отдельный тренд — персонализация за счет открытых данных. В отчете говорится, что злоумышленники добавляют в письма публичную информацию, включая домашние адреса и геолокацию, чтобы поднять доверие.
В одном из случаев атакующие даже вставляли скриншоты Google Maps в письма с вымогательством. Такой прием должен убедить жертву, что «про нее все знают».
Еще один маркер кампаний — скорость развертывания. Cofense фиксирует, что поддельные сайты и почтовые аккаунты нередко регистрируют за месяцы, недели или даже дни до атаки.
Что Cofense передала защитникам: IOCs, IP-адреса и ссылки на полезные нагрузки
Для команд ИБ Cofense подготовила технические артефакты, которые помогают ловить кампанию на ранней стадии. В набор вошли индикаторы компрометации (IOCs), списки наблюдаемых IP-адресов и URL-адреса, ведущие к вредоносным страницам и полезным нагрузкам.
Компания также отмечает глобальный характер рассылок. Часть писем переводили с других языков, включая китайский, что указывает на международную географию атак.
И еще один практичный вывод из отчета: даже небольшая задержка в разборе таких инцидентов повышает риск утечки паролей. Поэтому в организациях критична быстрая реакция на подобные сигналы.
Подробности технического разбора Cofense опубликовала в своем блоге: One click away: inside a LinkedIn phishing attack.
